Perché banno un IP e questo continua ad accedere?

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns e altro.
Scrivi risposta
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Perché banno un IP e questo continua ad accedere?

Messaggio da Sam9999 »

Codice: Seleziona tutto

21:08:52	54.38.255.116	GET	/shop/	301	4KB		           VelenPublicWebCrawler (velen.io)		
21:08:41	54.38.255.116	GET	/shop/	200	66KB	https://                    VelenPublicWebCrawler (velen.io)		
21:08:40	54.38.255.116	GET	/shop/	4KB		                                           VelenPublicWebCrawler (velen.io)		
21:08:29	54.38.255.116	GET	/shop/ 200	63KB	https://                      VelenPublicWebCrawler (velen.io)
Lo metto in iptables.

Codice: Seleziona tutto

-A f2b-ip-blacklist -s 54.38.0.0/16 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ip-blacklist -s 54.38.255.116/32 -j REJECT --reject-with icmp-port-unreachable
Ma continua ad accedere... :birra:

Adesso lo anche messo in alto in IPtables...

Codice: Seleziona tutto

-A INPUT -s 54.38.255.116/24 -j DROP
Ma accede.. ho anche riavviato apache2

Ora l'ho piazzato in .htaccess e trova dei bei 403

Codice: Seleziona tutto

order allow,deny
deny from 54.38.255.116/24
allow from all
Ultima modifica di Sam9999 il giovedì 12 luglio 2018, 21:35, modificato 1 volta in totale.
-------------
S. @-M.
-------------
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12919
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da thece »

Perchè magari la connessione viene accettata da qualche regola precedente di IPTables: occorre guardare le regole nel loro insieme.

Visto che usi fail2ban, se non ricordo male, c'è il modo di rendere i ban permanenti: http://lmgtfy.com/?q=fail2ban+ban+ip+permanently
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da Sam9999 »

thece [url=https://forum.ubuntu-it.org/viewtopic.php?p=5069421#p5069421][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Perchè magari la connessione viene accettata da qualche regola precedente di IPTables: occorre guardare le regole nel loro insieme.

Visto che usi fail2ban, se non ricordo male, c'è il modo di rendere i ban permanenti: http://lmgtfy.com/?q=fail2ban+ban+ip+permanently
Ora dopo che ha trovato dei 403 fail2ban lo ha bannato lui e non coccia piu' sul server.

Si lo metto anche in /etc/fail2ban/ip.blacklist, ma mi pare che perché venga poi aggiunto in firewall devo riavviare fail2ban.

Allora lo metto in iptables e anche in ip.blacklist e fail2ban quando si riavvia lo mantiene bannato.

Questa la regoletta aggiunta da fail2ban...

Codice: Seleziona tutto

-A f2b-apache -s 54.38.255.116/32 -j REJECT --reject-with icmp-port-unreachable
Non è che quelli per l'accesso ad apache li devo settare in quella regola e non in ip-blacklist?
Non è la stessa cosa, nel senso sempre bloccato l'IP?
-------------
S. @-M.
-------------
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17341
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da Stealth »

Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da Sam9999 »

Stealth [url=https://forum.ubuntu-it.org/viewtopic.php?p=5069429#p5069429][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao
Non riavvio il firewall, provo a riavviare apache se per caso ha un threread ancora in corso e quindi lo si stoppa.
Devo riavviare anche iptables o quale ? A me non pare che ce ne sia stato bisogno in precedenza, appena inserito un ip è bloccato.

Dovrei riavviare anche ufw ?
Ufw

Acnhe se non credo che lo abbia mai usato... serve a mettere la regola in iptables... oltre ad abilitare il firewall. :birra:

Non sto usando altri servizi firewall...
Ultima modifica di Sam9999 il giovedì 12 luglio 2018, 22:58, modificato 1 volta in totale.
-------------
S. @-M.
-------------
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1315
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da Filoteo »

Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao
Non serve riavviare il firewall. Quando aggiungi una regola a iptables questa entra in azione immediatamente.

EDIT: corretto, il servizio in realtà c’è.
Ultima modifica di Filoteo il giovedì 12 luglio 2018, 23:05, modificato 1 volta in totale.
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12919
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da thece »

Nota: IPTables e UFW non sono altro che due diverse interfacce per Netfilter, il firewall integrato nel kernel di Linux. Non serve riavviare entrambi, basta riavviare quello che si usa: IPTables o UFW.
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da Sam9999 »

Filoteo [url=https://forum.ubuntu-it.org/viewtopic.php?p=5069433#p5069433][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
Solo per scrupolo di pignoleria. Oltre a riavviare apache, dopo la modifica delle regole riavviavi anche il servizio del firewall?
ciao
Non serve riavviare il firewall. Quando aggiungi una regola a iptables questa entra in azione immediatamente.

EDIT: corretto, il servizio in realtà c’è.

Ecco quello che dicevo, ma ora ho visto che ufw non era abilitato ed ora è abilitato.. ha fatto un po' di casino in iptables... ma ora è a posto. :birra:

Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..

mantenevo solo iptables.. che non mi piace ora.. :birra:
-------------
S. @-M.
-------------
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17341
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da Stealth »

Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..
Forse non ho capito bene, ma se hai due configuratori di netfilter attivi beh, io eviterei. Scegline uno e spegni l'altro, e a questo punto vai anche a rivedere un po' tutto quello che hai toccato quando "non funzionava" il ban, ad es. fail2ban.
Insomma, appurato che bastava far recepire le regole e il firewall funziona, ripristinerei tutto ad uno stato precedente e sicuramente funzionante
ciao
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Perché banno un IP e questo continua ad accedere?

Messaggio da Sam9999 »

Stealth [url=https://forum.ubuntu-it.org/viewtopic.php?p=5069438#p5069438][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
Quindi ho raddoppiato il firewall.. che spero no faccia casino di piu'..
Forse non ho capito bene, ma se hai due configuratori di netfilter attivi beh, io eviterei. Scegline uno e spegni l'altro, e a questo punto vai anche a rivedere un po' tutto quello che hai toccato quando "non funzionava" il ban, ad es. fail2ban.
Insomma, appurato che bastava far recepire le regole e il firewall funziona, ripristinerei tutto ad uno stato precedente e sicuramente funzionante
ciao
Ci penso domattina.. mannaggia... fatto un casino, ma verificato funziona tutto.

Ecco che c'è un incasinamento, ora quando cancella da dentro la tabella iptables tutti i riferimenti a UFW dopo averlo disabilitato, mi da errore in restosre nella linea della ip-blacklist

Codice: Seleziona tutto

iptables-restore v1.6.1: Couldn't load target `f2b-ip-blacklist':No such file or directory
mentre se lascio i riferimenti non mi da errore:

Codice: Seleziona tutto

:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -p tcp -j f2b-ip-blacklist
-A INPUT -p tcp -m multiport --dports 22,939 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -s 169.254.55.0/24 -j ACCEPT
-A INPUT -s 2.234.35.165/32 -j ACCEPT
-A INPUT -s 103.21.244.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 103.22.200.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 103.31.4.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 104.16.0.0/12 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 108.162.192.0/18 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 131.0.72.0/22 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 141.101.64.0/18 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 162.158.0.0/15 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 172.64.0.0/13 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 173.245.48.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 188.114.96.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 190.93.240.0/20 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -s 199.27.128.0/21 -p tcp -m multiport --dports 80,443,2086,2096 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443,2086,2096 -m conntrack --ctstate NEW,ESTABLISH$
-A INPUT -p tcp -m multiport --dports 21,22,25,110,143,465,587,939,993,995 -m conntrack --c$
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443,2086,2096 -m conntrack --ctstate ESTABLISHED $
-A OUTPUT -p tcp -m multiport --sports 21,22,25,110,143,465,587,939,993,995 -m conntrack --$
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A f2b-ip-blacklist -j RETURN
-A f2b-sshd -j RETURN
-A f2b-vsftpd -j RETURN
COMMIT
# Completed on Fri Jul 13 07:16:19 2018
Trovato cancellavo dei riferimenti di troppo in alto.... cioè questi:

Codice: Seleziona tutto

:f2b-ip-blacklist - [0:0]
:f2b-sshd - [0:0]
:f2b-vsftpd - [0:0]
-------------
S. @-M.
-------------
Scrivi risposta

Ritorna a “Ubuntu su server”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti